干物妹ランサムウェアという、怪しげなマルウェアの存在をMalwareHunterTeamさんのつぶやきで知ったので、検体を入手して解析してみました。

　結論からいうと、つぶやきにあるとおり、暗号したファイルの復号が容易であり、ジョークソフトとしか思えない。でも、いわゆるウイルス作成罪（不正指令電磁的記録に関する罪）に該当すると思います。冗談半分だったのかもしれませんが、マルウェアを作成・公開することはやめましょう・・・。

検証環境

［感染パソコンの環境］

• Windows7 Home Edition SP1 32bit版（VMwareの仮想マシン）
• Microsoft .NET Framework 4.7.1

［検体情報］

• ハッシュ値（SHA256）： dde7c1c88adce965134af781ad7efa3cb75a4f2cc028b1de2741d05184881602
• 検知名（トレンドマイクロ）： Ransom_Genasom.THBAFH

検証結果

(1)感染時の挙動

検体をエクスプローラでダブルクリックして実行したところ、ドキュメントフォルダ内のテキストファイル（.txt）、ワード文書（.doc）が暗号化されるとともに、拡張子が「.干物妹！」に変更されました。

(2)復号

検体をコマンドプロンプトから「-recover」オプションを付けて起動したところ、暗号化されたファイルが復号化されました。

(3)解析

検体は.NETアプリケーションであり、ILSpyで解析することでソースコードを確認することができました。
難読化もされておらず、素直なコードです。スクリーンショットには、複号用オプション「-recover」が指定されたか確認するコードが写っています。

補足

　「干物妹」は、「ひもうと」と読むそうです・・・。勉強になりました。